スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

5月3~5日のtwitterセキュリティクラスタ

セキュリティの問題は休みとは関係なく続いていることが実感させられるゴールデンウィークです。

まずはソニー問題。まだまだ収束しそうにはなく、いろいろ出ています。
cubedl: ハッシュの手法にまで触れたのはScanだけかな。読売はIPSが入っていたことを書いてたのが印象に残ってる / ソニーPSN漏えい事件、パスワードはハッシュ化、具体的な脆弱性は非公開(ソニー)|ScanNetSecurity http://htn.to/hrMNJp

prof_morii: ソニーPSN情報流出で、初被害か(豪) | YUCASEE MEDIA(ゆかしメデ http://goo.gl/NQLOq おそらく風評被害の一つでしょう、まともに考えて1件だけポツと湧き上がることはないから。

prof_morii: PSNユーザーのクレジットカード不正利用されたの声が続々と届く http://goo.gl/2EstG 朝にも書いたけど、これは「濡れ衣」でしょう、たぶん。 ソニーも当分、大変です。


htmk73: クックック…SCEに続きSOEがやられたようだな、カード1万2700件流出 http://blog.esuteru.com/archives/3095404.html


moton: うお。またマレーシアか。RT @security4all_jp Sony's PSN system was hacked via a server in Malaysia: http://t.co/SIB3UtA


MasafumiNegishi: ソニー、米下院に回答。個人情報7700万件すべての漏洩を認める http://engt.co/k9Ps0f


MasafumiNegishi: 侵入されたソニーのサーバからファイル " Anonymous "見つかる 。中身は「我らはレギオン」 http://engt.co/mxZyUD


ソニーが報告書を提出したらしいですが、非常に洗練された高度なハッカーの仕業だということで自分たちは悪くないと主張したいのでしょうか。
MasafumiNegishi: Sonyが提出したPDF読んでる。「複数のサーバーが計画外のリブートを起こしたことから調査を開始し、不正侵入に気がついた。」-> 全く洗練されてない稚拙なやり方に見える。

MasafumiNegishi: ああ、さっきの「稚拙なやり方」というのは、攻撃者が稚拙だ、という意味です。割と荒っぽい方法でやっている。

MasafumiNegishi: SonyのPDF続き。「はじめ4台、あとからさらに6台、合計10台のサーバーに不正侵入の痕跡を発見。(PSNでは130台のサーバーを管理している。) フォレンジック調査のためのミラーリングに非常に時間を要した。」

MasafumiNegishi: 続き。「フォレンジック調査の結果、次のことが判明。侵入者はサーバー内で自らの痕跡を管理者から隠し(おそらく rootkit)、権限の昇格を行い、ログを消去した。非常に洗練された高度なハッカーの仕業だ。」 -> いや、それフツーでしょ。

MasafumiNegishi: 続き。「情報の開示等の対応について、複数の州が相異なる、矛盾する要求事項をあげており、全てに対応する必要があった。また部分的で不確かな情報の開示は、ユーザーの混乱を招きかねないと判断した。」 -> 苦しい言い訳。10年前なら妥当な判断と思ってもらえたかもしれない。

MasafumiNegishi: 間抜けさをより強調する結果に… “@NobMiwa: 自分達がまぬけだ、ということを隠すためには、奴らは凄すぎた、と敵を絶賛する手法はこれまでにも度々とられてきた #psnhacked”

MasafumiNegishi: あれ、Sonyさん、日本語に翻訳したレターは公開してくれないのかな?

MasafumiNegishi: 続き。「現在も捜査は継続中であり、またPSNと同じようなアーキテクチャをもつ他社のシステムへの攻撃を助長する可能性もあるため、攻撃内容に関する詳細な情報の開示は控えている。」 -> 恥ずかしくて公表できないってことはないよね?

MasafumiNegishi: 続き。「7,700万のアカウントのうち、クレジットカード情報を含むのは、約1,230万アカウント、うちUSは約560万アカウント。これらには、有効期限切れのものが含まれている。」 -> 会見で、有効なカードは約1,000万と言ってましたね。

kitagawa_takuji: Sonyが提出したPDFより即座に侵入を検知できなかった理由 1.非常に洗練された侵入行為だった為 2.システムソフトウェアの脆弱性を攻撃された為 3.DoS攻撃への防御に力を注いでいた為



そして、三輪信雄氏のプレステネットに関する記事について。専門の人でもよくわからないってのは、どうにもよろしくない記事のようで。
ockeghem: 『2重の暗号化などの総合的な対策が必要』<否。目的に応じた適切な暗号化が必要。また、脆弱性対策を「見えないこと」に頼るのは不適切 / サーバーとの通信を2重暗号化するなどの対策が急務:三輪信雄「ここが変だよみんなの対策」 http://htn.to/NMJL9z

mt7080: 元記事読んだときからそうなんだけど、そもそも「サーバーとの通信の2重の暗号化」の指すものがよく分からない。。。この手法てメジャーなの?? RT @ockeghem 『2重の暗号化などの総合的な対策が必要』<否。目的に応じた適切な暗号... http://htn.to/NMJL9z

mt7080: 通信の暗号化とDBの暗号化のことなのかなぁ。それを「通信の2重の暗号化」て表現するのかなぁ、むぅ。

bakera: @ockeghem おそらく「2重の暗号化」というのは本体のハックをしづらくする(耐タンパ性を高める)ための施策で、それはそれで一定の意味はあると思います。ただ、今問題になっているPSNの脆弱性とはあまり関係ないですね。ごっちゃに議論されているのが分かりにくいと思います。

ockeghem: @mt7080 ゲームなどでは、利用者による不正を防止するためにデータを独自に暗号化して、それをSSLで流す場合があります。2重に暗号化したことになりますね。この場合はSSLは必要とは限りません

mt7080: @ockeghem なるほど知りませんでした。ありがとうございます。

ockeghem: @pmakino @bakeraさんも書いているように、独自の暗号化はシステムの耐タンパ性の要求に対して必要なものですが、「総合的な対策」ではなく、耐タンパ性の実現のための施策です。元エントリは大ざっぱすぎますが、大ざっぱではダメなんです

kogawam: 『SSLは(略)...MIM((略)中間者攻撃)を行えば、通信の内容は平文で取り出すことが可能』←意味不明だ。もしMITM可能なら、SSLの問題じゃなくて実装がクソなだけでは? / サーバーとの通信を2重暗号化するなどの対策が急務:三輪… http://htn.to/mdjd37


そして困ったことに他にもソニーの脆弱性が見つけられていますね。
hasegawayosuke: found XSS in sony.co.jp and reported.

hasegawayosuke: sony.com、ちょっと動きあやしいところ多い気がするけど、深追いすると怖いのでやめとく。エラーメッセージとか丁寧に出しすぎだし、URLに"...&path=/foo/bar/zoo/contents.txt" みたいなの入ってるのはいかにもつついてくれと言わんばかり。

hasegawayosuke: http://products.sel.sony.com/cgi-bin/semi/get_datasheet.cgi ソース丸見え?

hasegawayosuke: http://products.sel.sony.com/cgi-bin/wishlist こっちも。

bulkneets: CGI->Varsをこんなところで見るとは!!!!

rryu2010: cgi-binが形骸化してScriptAliasになっていない事故は海外でもあるんですね……

bulkneets: アクセスログ外から見えてたらしいみたいな話もあったよね http://bit.ly/mgtloN

bulkneets: hasegawayosukeさんが晒してたソニーのあれ2chに飛び火してロクでもない感じになってる


LastPass.comにXSSが見つけられています。この手のWeb系サービスは使う前にいろいろ調査する方が無難なのかもしれません。
MasafumiNegishi: あちゃー。まいったね。 LastPass potentially hacked, users urged to change master passwords http://tnw.co/iLxKs7

bulkneets: found XSS in lastpass.com

MasafumiNegishi: LastPass : The last password you'll have to remember: LastPass Security Notification http://t.co/xImLc79

bulkneets: ログイン状態では機能しないっぽい

bulkneets: 10分でXSS見つけられるサービスにホイホイパスワード預けてるのが問題。

bulkneets: lastpass マスターパスワードはクライアント側でなんかのハッシュ化した上で送ってるね。エクスポートもクライアント側で復号してる。

bulkneets: 試しに適当なデータ追加したらこれ以上の検証が不可能な事態に遭遇している!!!! http://bit.ly/mPGuPS

kitagawa_takuji: LastPassのこの対応は安心出来る。使い続けることとしよう。http://goo.gl/X7ANT


その他に気になったことはこのあたり。
Domonokun: その義援金はどこへ行く?:震災に便乗したネット犯罪をシマンテックが解説 http://bit.ly/hXXxss


sonodam: しかしアレだな、相手が成海璃子ならぶっちゃけやられてみたい、いやむしろやられた(ry


MasafumiNegishi: 言いにくい。定着ムリw RT @F0ro: 「サイバースパイ」、「ターガタック」定着するかな。 /サイバースパイ活動が増加中 http://bit.ly/mhA8QEI


bulkneets: 優れた技術持ったスタートアップがつまらないミスで評判下げるのは望むところではないし、かと言って書かないと馬鹿なユーザーがガンガン個人情報放り込みオススメしまくるし、じゃあどうすべきかってユーザー数1000人ぐらいの規模の時に見つかっててしかるべきバグだろみたいなことを言いたい
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。